不正アクセスの検知と情報管理の在り方
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」3月16日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・正規の認証を受けたのに不正アクセス?その検知方法とは
・情報管理の強化ポイント「5W1H」を明確に
今回の解説ニュース
Webアプリケーションに不正アクセスがあり、顧客情報が漏洩した件について発表されています。不正アクセスの検知や、情報管理の在り方について説明します。
今回のインシデントは、プロジェクト情報共有ツールへの不正アクセスにより、保存されていた顧客情報の一部が閲覧またはダウンロードされたと発表されています。原因として、第三者がシステムの脆弱性をついて正規のIDとパスワードを窃取し、これを使用して不正アクセスを行ったことが挙げられています。
対策として、システムの運用を停止し、関係当局への相談を進めています。また、社長直轄の全社を挙げた体制を構築し、影響範囲及び原因の調査と分析を行うとともに、外部有識者による「検証委員会」を設置、客観的な視点で検証作業を進めています。再発防止策として、運用管理の厳格化、部門ルールの社内確認の強化、運用状況のモニタリング、教育・周知の強化を行うということです。
正規の認証を受けたのに不正アクセス?その検知方法とは
正規のIDとパスワードで不正ログインをされた場合、ログイン元の場所や時間によって不正アクセスかどうか判断できる場合があります。今回のインシデントは詳細について公表されていませんので、あくまでも一般論として説明します。
脆弱性をつかれたり、マルウェアに感染するなどして正規のIDとパスワードが窃取された場合、ログイン失敗を繰り返さずに正しくログインできるため、通常のアクセスと見分けがつきにくいことが考えられます。そのような場合を想定したセキュリティ対策として、ログイン元の場所や時間から不正アクセスの疑いを検知する方法が挙げられます。
例えば、Aさんは通常、日本国内から平日の日中にログインしてお仕事をしているとします。これが突然、海外から深夜にログインがあった場合、正規のIDとパスワードであっても、怪しいログインとみなすことが妥当であると考えられます。ログイン元の場所については、IPアドレスから国や大まかな地域などを識別することが可能です。
このような情報をリアルタイムに検知するためには、ログイン情報がログに保存されており、監視が行われていることが必要です。今回のインシデントでも「複数のログの収集・管理も一元的に行うことで不正アクセスが疑われる不審な挙動を監視する」と発表されていますので、同様のセキュリティ対策が取られているのではないかと考えられます。
その他のトピック
情報管理の強化ポイント「5W1H」を明確に(全文はこちら)